楼主: qqq123123
收起左侧

[教程] Comodo 5.x系列新增功能赏析,欢迎毛豆迷们指正!希望能帮到一些人

  [复制链接]
紫涵
发表于 2011-11-18 20:06:44 | 显示全部楼层
柯林 发表于 2011-11-18 20:04
ZA算是大众化里做得比较好的墙,所以一直被评第一。不过这墙也有脑残的地方——天生要求配合它家的杀软使 ...

没有啦,以前从ZA5.5用到ZA9都没有用过ZA的套装。
只用过ZA的PRO版,配什么杀软都很随便的,卡巴,诺顿。
a256886572008
发表于 2011-11-18 20:06:54 | 显示全部楼层
柯林 发表于 2011-11-18 19:16
不能控制程序联网的墙,就不算一个合格的墙。
ZA最受人称赞的一点,任何程序联网都要弹窗询问用户,这是 ...

瑞星墙虽然很多人诟病,我也对它不感冒,但它做得细致的一点,不但精确到访问网络的exe等文件,还精确到dll等文件,让人知道某个宿主程序的网络访问实际上是由某个dll之类的程序在发起,这是进步。

------------------------------------------
你是說 rundll32.exe被調用 訪問網路 嗎?

這個,comodo 有命令行檢測,防火牆 直接報 dll 想訪問網路。
qqq123123
 楼主| 发表于 2011-11-18 20:11:43 | 显示全部楼层
sanhu35 发表于 2011-11-18 18:51
开启沙盘后  信任程序和未知程序的规则流程是怎么样的?会受哪里的规则影响?

帖子更新了说明,可以参考下!···
guoguo3003
发表于 2011-11-18 21:08:14 | 显示全部楼层
学习一下
柯林
发表于 2011-11-18 21:58:54 | 显示全部楼层
a256886572008 发表于 2011-11-18 20:06
瑞星墙虽然很多人诟病,我也对它不感冒,但它做得细致的一点,不但精确到访问网络的exe等文件,还精确到d ...

不是单纯说rundll32.exe,而是除了系统与网络相关的主要dll之外,任何正在参与网络活动或曾经要求进行网络访问的dll,会有一个列表显示。LNS就有过这功能,一个程序访问网络时,相关dll如果参与网络访问,防火墙就会提示。
紫涵
发表于 2011-11-18 22:01:07 | 显示全部楼层
柯林 发表于 2011-11-18 21:58
不是单纯说rundll32.exe,而是除了系统与网络相关的主要dll之外,任何正在参与网络活动或曾经要求进行网络 ...

看来BUG就在系统和网络相关的DLL身上了,只要病毒调用系统和网络相关的DLL,瑞星防火墙就是哑巴。
柯林
发表于 2011-11-18 22:08:44 | 显示全部楼层
本帖最后由 柯林 于 2011-11-18 22:10 编辑
紫涵 发表于 2011-11-18 22:01
看来BUG就在系统和网络相关的DLL身上了,只要病毒调用系统和网络相关的DLL,瑞星防火墙就是哑巴。


可能我记错了,究竟是否显示所有联网dll,记不大清,有兴趣可以安装了检查下。

LNS和瑞星设计这功能的用意,是防止病毒dll注入正常进程。譬如说,安装迅雷之后,一般的防火墙只能显示explorer联网了,但是它们却能告诉你,不是explorer在联网,而是迅雷那个注入explorer的dll在联网。这对于防马是一个加强。譬如大家都知道,svchost.exe正常情况下都要联网,如果有病毒注入它,它去访问远程80端口或者53端口之类,一般的墙会以为正常,你看不出异样,但是它们却能告诉你,是坏东东在命令svchost办事。这应该算是进步。
紫涵
发表于 2011-11-18 22:11:29 | 显示全部楼层
柯林 发表于 2011-11-18 22:08
可能我记错了,究竟是否显示所有联网dll,记不大清,有兴趣可以安装了检查下。

LNS和瑞星设计这功能 ...

嗯,这个毛豆的防火墙现在办不到。
柯林
发表于 2011-11-18 22:16:43 | 显示全部楼层
紫涵 发表于 2011-11-18 22:11
嗯,这个毛豆的防火墙现在办不到。

你担心的病毒调用系统dll上网来达成攻击,一般来讲不成立。系统那些网络处理模块,本来就是分散在相关dll之中,提供接口来允许上网程序访问和使用其功能的,不存在劫持的问题。
一双拖鞋
发表于 2011-11-18 22:29:58 | 显示全部楼层
为方便新手快速入手Comodo,特此搜集整理了相关资料,感谢那些为Comodo发展做出贡献的童鞋!
--------------------------------------------------------------------
(一)、对于规则中出现的“|”的解释:
1、对于在“受保护文件和文件夹”中添加的规则中含有“|”的:不允许新建、修改、删除;
2、对于没有在“受保护文件和文件夹”中添加的规则中含有“|”的:允许新建,不允许修改、删除;
--------------------------------------------------------------------
(二)在毛豆的设置中有这样一个选项:不显示弹出警告(允许请求、阻止请求)
1、不显示弹出警告-允许请求:本来应该弹窗询问的,勾选该项后,毛豆会默认允许该操作;
2、不显示弹出警告-阻止请求:本来应该弹窗询问的,勾选该项后,毛豆会默认阻止该操作;
--------------------------------------------------------------------
(三)为什么开启安全模式后,防火墙都是一路放行,没有弹窗?
1、将毛豆的sandbox安全级别设为“启用”;
2、将防火墙“网络安全规则”里面的“应用程序规则”清空;(此时已经会弹窗了)
3、如果此时勾选“不显示弹出警告-阻止请求”,那么自动入沙的程序都会被默认阻止联网了;(既安全又安静)
--------------------------------------------------------------------
(四)为什么很多的程序能正常运行,但是都没有任何规则?
1、将Defense+设置里面勾选“创建安全程序规则”;
2、将防火墙设置里面勾选“创建安全程序规则”;
--------------------------------------------------------------------
(五)D+设置里面的“启用增强保护模式(需要重启系统)”是什么意思?
1、勾选后需要重启系统才能生效;
2、据了解是为了更好的兼容性,让用户自主选择是否勾选;
--------------------------------------------------------------------
(六)开启沙盒后程序运行的流程是什么样的?
1、当毛豆的sandbox安全级别设为“启用”时,会受到对应级别内置规则的影响;
2、开启沙盒的同时还建议开启的操作有:开启安全模式+开启在线云鉴定,这样就拥有了本地白名单和云端的海量白名单,同时云还能帮你实时鉴定文件信任级别和发现恶意程序;
3、总流程如下:D+黑名单(最高优先级)->D+的设置中明确阻止的项目(若是允许或者询问,毛豆会直接理解为跳过或者允许)->D+中受保护的文件和文件夹中带“|”的规则(不带“|”的文件和文件夹可以直接访问,具体参考第一条)->沙盒的不同安全级别的设定(内置规则的限制)
4、简单总结下:虽然我们不能设定沙盒具体的内置规则,但是我们可以通过第3条了解到,通过D+可以辅助并且提高沙盒的安全程度,真可谓相得益彰;
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 11:03 , Processed in 0.096709 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表